CVE-2023-23397 – Microsoft Outlook权限提升关键漏洞

作者： Lina Jiménez Becerra, Anton Jörgensson and Mark Stueck，来自Kudelski Security威胁检测与研究团队
CVE-2023-23397： 通过Microsoft Outlook处理特制传入邮件利用权限提升的能力

更新 – 3月16日 – 09:30 CET
Microsoft更新了建议以减少基于WebDAV攻击的风险，添加了以下内容：
禁用组织机器上运行的WebClient服务。这将阻止所有WebDAV连接，包括内网，可能会影响某些用户或应用程序。

摘要

CVE-2023-23397是一个积极利用的零日漏洞，影响Microsoft Outlook，在Microsoft 2023年3月补丁星期二报告中披露。使用NTLM中继攻击技术，外部攻击者可以准备一个特制邮件，一旦受害者的Outlook客户端检索并处理，就会生成从受害者到攻击者控制的外部位置的连接。通过这样做，攻击者可以获取所需的Net-NTLMv2受害者哈希，以针对另一服务作为受害者进行身份验证。
公开可用信息来源提到，该漏洞已知在2022年4月至12月期间被APT28积极利用，APT28是一个已知与俄罗斯情报服务相关的威胁行为者，目标是政府、军事、能源和交通组织的网络。
在撰写本文时，尚无关于CVE-2023-23397成功利用的具体细节。然而，Microsoft已发布一个脚本来审计Exchange服务器并识别可能用于利用的邮件项。

受影响系统和/或应用程序

该漏洞影响不同版本的Microsoft Outlook，包括32位和64位版本。具体如下：

Microsoft Outlook 2016（64位版本）
Microsoft Outlook 2013 Service Pack 1（32位版本）
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1（64位版本）
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016（32位版本）
Microsoft Office LTSC 2021 for 32-bit editions

技术细节/攻击概述

Microsoft提供的信息表明，NTLM中继攻击可用于利用此漏洞，允许威胁行为者定位在服务器和客户端之间以拦截身份验证通信。
然而，关于威胁行为者如何通过利用建立NTLM中继攻击所需定位的进一步细节仍在调查中。
对Microsoft提供的PowerShell脚本的分析表明，攻击可能滥用Exchange消息中的特定属性，特别是“PidLidReminderFileParameter”和“PidLidReminderOverride”。前者控制当邮件项的提醒触发时Outlook客户端应播放的文件名。后者指定客户端是否应尊重“dispidReminderPlaySound”（PidLidReminderPlaySound）和“dispidReminderFileParam”（PidLidReminderFileParameter）属性的值。然后，由于PidLidReminderFileParameter接受文件名作为参数，攻击者可以利用它指定UNC路径以在“PidLidReminderOverride”中触发NTLM身份验证。

威胁行为者利用后活动

成功执行NTLM中继攻击，特别是已知与CVE-2023-23397相关的技术，将允许威胁行为者获得对企业资源的未授权访问。根据受影响的主机，这可能包括对Windows系统的本地身份验证和Active Directory域控制器上存储的Windows密码。
通过本地访问受感染系统，攻击进展可能因组策略配置和安全设置而异。可能性包括但不限于：

本地账户创建
机器账户创建
横向移动
数据外泄
建立持久化机制
在环境中引入恶意工具
远程代码执行（RCE）
离线密码破解攻击

解决方案

Kudelski Security强烈建议尽快修补受CVE-2023-23397影响的Outlook客户端。作为补丁星期二的一部分发布，请参考Microsoft更新指南以获取适当的安全更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

临时解决方法和缓解措施

除了执行提供的脚本以验证Exchange消息项外，Microsoft建议以下操作来缓解此漏洞：

将用户添加到受保护用户安全组，这防止使用NTLM作为身份验证机制。执行此缓解措施使故障排除比其他禁用NTLM的方法更容易。考虑在可能时用于高价值账户，如域管理员。
请注意：这可能会影响需要NTLM的应用程序，但设置将在用户从受保护用户组中移除后恢复。请参阅“受保护用户安全组”以获取更多信息。（https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group）
使用边界防火墙、本地防火墙和VPN设置阻止从网络出站的TCP 445/SMB。这将防止向远程文件共享发送NTLM身份验证消息。

检测指南

Kudelski Security建议使用Microsoft最近发布的以下PowerShell脚本来检查受影响的Exchange服务器并识别任何潜在的攻击指标，例如利用此漏洞的恶意电子邮件发送：
https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md
根据Microsoft，脚本的审计模式评估Exchange中的项（如邮件、任务或日历约会）是否具有指定通用命名约定（UNC）路径的属性。例如，“\host-name\share-name\file_path”
PowerShell脚本还包括清理模式，它将删除任何包含可疑UNC属性的消息。

网络融合中心正在做什么

CFC正在监控此零日关键漏洞的演变。除此之外，CFC通常推荐以下安全最佳实践：

阻止出站SMB流量。通过阻止端口445上的出站网络连接。在漏洞的背景下，这将有助于防止NTLM密码发送到外部拥有的对手基础设施。
在MDR客户上部署提供的CFC检测[边界防火墙允许出站连接在端口445上]。
将用户添加到AD受保护用户组以保护属性用户的NTLM身份验证。如果此措施生成合法的NTLM身份验证，用户可以从组中移除。在这种情况下，它可以是一个临时措施。
强烈建议遵循这些。
最后，CFC将根据CVE-2023-23397的新信息和技术细节相应更新本文。